Amazon OpenSearch サービスドメインの作成と管理 - Amazon OpenSearch サービス
OpenSearch サービスドメインの作成アクセスポリシーの設定高度なクラスター設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch サービスドメインの作成と管理

この章では、Amazon OpenSearch Service ドメインを作成および管理する方法について説明します。 OpenSearch サービスドメインはクラスターと同義です。 OpenSearch ドメインは、指定した設定、インスタンスタイプ、インスタンスカウント、およびストレージリソースを持つクラスターです。

開始方法チュートリアルの簡単な手順とは異なり、この章ではすべてのオプションについて説明し、関連するリファレンス情報を提供します。各手順は、 OpenSearch サービスコンソール、 AWS Command Line Interface (AWS CLI)、または SDK の指示に従って完了できます。 AWS

OpenSearch サービスドメインの作成

このセクションでは、 OpenSearch サービスコンソールを使用するか、 OpenSearch AWS CLI create-domainコマンドとともに使用してサービスドメインを作成する方法について説明します。

OpenSearch サービスドメインの作成 (コンソール)

以下の手順に従い、 OpenSearch コンソールを使用してサービスドメインを作成します。

OpenSearch サービスドメイン (コンソール) を作成するには

  1. https://aws.amazon.com にアクセスし、[Sign In to the Console] (コンソールにサインイン) を選択します。

  2. [分析] で [Amazon OpenSearch サービス] を選択します。

  3. [ドメインの作成] を選択します。

  4. [ドメイン名] には、ドメイン名を入力します。名前は次の基準を満たしている必要があります。

    • お客様のアカウントに固有であり、 AWS リージョン

    • 先頭が小文字

    • 3~28 文字

    • 小文字の a~z、0~9 の数字、ハイフン (-) のみ含まれる

  5. ドメインの作成方法は、[標準作成] を選択します。

  6. [テンプレート] で、ドメインの目的に最も一致するオプションを選択します。

    • 高可用性とパフォーマンスを必要とするワークロード向けの [本番] ドメイン。これらのドメインは、可用性を高めるために、マルチ AZ (スタンバイの有無にかかわらず) と専用マスターノードを使用します。

    • 開発またはテスト向けの [開発/テスト]。これらのドメインは、マルチ AZ (スタンバイの有無にかかわらず) または単一のアベイラビリティーゾーンを使用できます。

      重要

      デプロイタイプが異なると、後続のページのオプションが異なります。これらのステップにはすべてのオプションが含まれています。

  7. [デプロイオプション] で、[スタンバイが有効のドメイン] を選択して 3-AZ ドメインを設定し、いずれかのゾーンのノードがスタンバイとして予約されます。このオプションでは、指定されたデータノード数、マスターノード数、インスタンスタイプ、レプリカ数、ソフトウェアアップデート設定など、いくつかのベストプラクティスが適用されます。

  8. バージョン」では、使用するElasticsearch OpenSearch OSSのバージョンまたはレガシーOSSを選択します。の最新バージョンを選択することをお勧めします。 OpenSearch詳細については、「サポートされているバージョンの OpenSearch および Elasticsearch」を参照してください。

    (オプション) OpenSearch ドメインのバージョンを選択した場合は、「互換モードを有効にする」を選択してバージョンを 7.10 OpenSearch として報告するようにします。これにより、接続前にバージョンを確認する特定の Elasticsearch OSS クライアントとプラグインは、引き続きサービスを利用できます。

  9. [インスタンスタイプ] では、データノードのインスタンスタイプを選択します。詳細については、「Amazon OpenSearch サービスでサポートされているインスタンスタイプ」を参照してください。

    注記

    すべてのアベイラビリティーゾーンですべてのインスタンスタイプがサポートされているわけではありません。スタンバイ付きまたはスタンバイなしのマルチ AZ を選択する場合は、R5 や I3 などの現行世代のインスタンスタイプを選択することをお勧めします。

  10. [ノードの数] で、データノードの数を選択します。

    最大値については、「OpenSearch サービスドメインとインスタンスクォータ」を参照してください。単一ノードのクラスターは、開発とテスト用に適切ですが、本稼働のワークロードには使用しないでください。ガイダンスについては、「Amazon OpenSearch Service ドメインのサイズ設定」および「Amazon OpenSearch Service でのマルチ AZ ドメインの設定」を参照してください。

  11. [ストレージタイプ] で、[Amazon EBS] を選択します。一覧で利用できるボリュームタイプは、選択したインスタンスタイプに応じて異なります。特に大きなドメインを作成する際のガイダンスについては、「Amazon OpenSearch Service のペタバイトスケール」を参照してください。

  12. [EBS] ストレージでは、次の追加設定を行います。選択したボリュームのタイプによっては、一部の設定が表示されない場合があります。

    設定 説明
    EBS ボリュームタイプ

    汎用 (SSD) - gp3 および 汎用 (SSD) - gp2、または前世代の プロビジョンド IOPS (SSD) および マグネティック (標準) から選択します。
    ノードあたりの EBS ストレージサイズ

    各データノードに接続する EBS ボリュームのサイズを入力します。

    [EBS ボリュームサイズ] はノードあたりのサイズです。 OpenSearch サービスドメインの合計クラスターサイズは、データノードの数に EBS ボリュームサイズを掛けることで計算できます。EBS ボリュームの最小サイズと最大サイズは、指定された EBS ボリュームタイプとそれがアタッチされるインスタンスタイプの両方によって異なります。詳細については、「EBS ボリュームサイズの制限」を参照してください。
    プロビジョンド IOPS

    Provisioned IOPS SSD ボリュームタイプを選択した場合は、ボリュームがサポートできる I/O オペレーション/秒 (IOPS) を入力します。

  13. (オプション) gp3 ボリュームタイプを選択した場合は、[詳細設定] を展開し、各ノードにプロビジョニングするために、ストレージの料金に含まれるものを超えて、追加の IOPS (データノードあたりプロビジョニングされる 3 TiB ボリュームサイズそれぞれに対して最大 1,000 MiB/秒) とスループット (データノードあたりプロビジョニングされる 3 TiB ボリュームサイズそれぞれに対して最大 16,000) を指定します。これには追加料金がかかります。詳細については、Amazon OpenSearch サービスの料金表を参照してください

  14. (オプション) UltraWarm ストレージを有効にするには、[ UltraWarm データノードを有効にする] を選択します。各インスタンスタイプには、アドレス可能なストレージの最大容量があります。この量に、アドレス可能なウォームストレージの合計のウォームデータノードの数を乗算します。

  15. (オプション) [コールドストレージ] を有効にするには、[コールドストレージを有効にする] を選択します。 UltraWarm コールドストレージを有効にするには有効にする必要があります。

  16. スタンバイ付きマルチ AZ を使用する場合、3 つの専用マスターノードが既に有効になっています。必要なマスターノードのタイプを選択します。スタンバイなしのマルチ AZ のドメインを選択した場合は、[専用マスターノードを有効にする] を選択し、必要なマスターノードのタイプと数を選択します。専用マスターノードは、クラスターの安定性を高めます。また、インスタンス数が 10 を超えるドメインに必要です。本番稼働用ドメインには、3 つの専用マスターノードをお勧めします。

    注記

    専用マスターノードおよびデータノードの異なるインスタンスタイプを選択できます。たとえば、データノードの汎用またはストレージ最適化インスタンスを選択できますが、専用マスターノードのコンピューティング最適化インスタンスは選択できません。

  17. (オプション) Elasticsearch 5.3 OpenSearch 以降を実行しているドメインでは、スナップショット設定は関係ありません。自動化されたスナップショットの詳細については、「Amazon OpenSearch サービスでのインデックススナップショットの作成」を参照してください。

  18. 標準エンドポイントの https://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com ではなく、カスタムエンドポイントを使用する場合、[カスタムエンドポイントを有効にする] を選択し、名前と証明書を入力します。詳細については、「Amazon OpenSearch Service 用のカスタムエンドポイントの作成」を参照してください。

  19. [ネットワーク] セクションで、[VPC アクセス] または [パブリックアクセス] を選択します。[パブリックアクセス] を選択した場合は、次のステップに進みます。[VPC access] (VPC アクセス) を選択する場合は、[prerequisites] (前提条件) を満たしていることを確認してから、次の設定を行います。

    設定 説明
    VPC

    使用する仮想プライベートクラウド (VPC) の ID を選択します。VPC とドメインは同じものである必要があり AWS リージョン、テナンシーを Default に設定した VPC を選択する必要があります。 OpenSearch サービスは専用テナンシーを使用する VPC をまだサポートしていません。
    サブネット

    サブネットを選択します。マルチ AZ を有効にした場合は、2 つまたは 3 つのサブネットを選択する必要があります。 OpenSearch サービスはサブネットに VPC エンドポイントと Elastic Network インターフェースを配置します

    サブネット内のネットワークインターフェイス用に十分な IP アドレスを予約する必要があります。詳細については、「VPC サブネットで IP アドレスをリザーブする」を参照してください。
    セキュリティグループ

    必要なアプリケーションがドメインによって公開されているポート (80 または 443) とプロトコル (HTTP または HTTPS) OpenSearch でサービスドメインに到達できるようにする VPC セキュリティグループを 1 つ以上選択します。詳細については、「VPC 内で Amazon OpenSearch Service ドメインを起動する」を参照してください。
    IAM ロール

    デフォルトロールはそのまま使用してください。 OpenSearch サービスはこの事前定義されたロール(サービスにリンクされたロールとも呼ばれます)を使用して VPC にアクセスし、VPC エンドポイントとネットワークインターフェースを VPC のサブネットに配置します。詳細については、「VPC アクセス用のサービスにリンクされたロール」を参照してください。
    IP アドレスタイプ

    IP アドレスタイプとして、デュアルスタックまたは IPv4 を選択します。デュアルスタックでは、IPv4 と IPv6 のアドレスタイプ間でドメインリソースを共有できます。これが推奨オプションです。IP アドレスタイプをデュアルスタックに設定した場合、後でアドレスタイプを変更することはできません。

  20. きめ細かなアクセスコントロールを有効または無効にします。

    • ユーザー管理に IAM を使用する場合は、[IAM ARN をマスターユーザーとして設定] を選択し、IAM ロールの ARN を指定します。

    • 内部ユーザーデータベースを使用する場合は、[Create master user] (マスターユーザーの作成) を選択し、ユーザー名とパスワードを指定します。

    どのオプションを選択しても、マスターユーザーはクラスター内のすべてのインデックスとすべての API にアクセスできます。 OpenSearch 選択するオプションのガイダンスについては、「主要なコンセプト」を参照してください。

    きめ細かなアクセスコントロールを無効にしても、ドメインを VPC 内に配置するか、制限付きアクセスポリシーを適用するか、またはその両方を行うことで、ドメインへのアクセスをコントロールできます。きめ細かいアクセス制御を使用するには、 node-to-node 暗号化と保存時の暗号化を有効にする必要があります。

    注記

    ドメイン上のデータを保護するために、きめ細かなアクセスコントロールを有効にすることを強くお勧めします。きめ細かなアクセスコントロールにより、クラスター、インデックス、ドキュメント、フィールドの各レベルでセキュリティが提供されます。

  21. (オプション) OpenSearch ダッシュボードに SAML 認証を使用する場合は、[SAML 認証を有効にする] を選択し、ドメインの SAML オプションを設定します。手順については、「ダッシュボードの OpenSearch SAML 認証」を参照してください。

  22. (オプション) OpenSearch ダッシュボードに Amazon Cognito 認証を使用する場合は、[Amazon Cognito 認証を有効にする] を選択します。次に、 OpenSearch ダッシュボード認証に使用する Amazon Cognito ユーザープールと ID プールを選択します。これらのリソースの作成のガイダンスについては、「OpenSearch Dashboards の Amazon Cognito 認証の設定」を参照してください。

  23. [アクセスポリシー] で、アクセスポリシーを選択するか、独自のポリシーを設定します。カスタムポリシーを作成することを選択した場合は、自分で設定することも、別のドメインからインポートすることもできます。詳細については、「Amazon OpenSearch サービスの Identity and Access Management」を参照してください。

    注記

    VPC アクセスを有効にした場合、IP ベースのポリシーは使用できません。代わりに、どの IP アドレスがドメインにアクセスできるかを制御するセキュリティグループを使用できます。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

  24. (オプション) ドメインへのすべてのリクエストが HTTPS 経由で到着することを要求するには、[ドメインへのすべてのトラフィックに HTTPS が必要] を選択します。 node-to-node 暗号化を有効にするには、[N 暗号化] を選択します。ode-to-node詳細については、「Amazon ode-to-node OpenSearch サービスの暗号化なし」を参照してください。保管中のデータの暗号化を有効にするには、[保管時のデータの暗号化を有効にする] を選択します。スタンバイ付きマルチ AZ デプロイオプションを選択した場合、これらのオプションは既に選択されています。

  25. (オプション) OpenSearch Service AWS KMS に代わって暗号化キーを作成させる (または、作成済みの暗号キーを使用する) 場合は、「 AWS 所有キーを使用」を選択します。それ以外の場合は、独自の KMS キーを選択します。詳細については、「Amazon OpenSearch サービスの保存データの暗号化」を参照してください。

  26. [オフピークウィンドウ] で、ブルー/グリーンデプロイを必要とするサービスソフトウェアの更新と自動調整の最適化をスケジュールする開始時刻を選択します。オフピークの時間帯に更新を行うことにより、トラフィックの多い時間帯にクラスターの専用マスターノードにかかる負荷を、最小限に抑えることができます。

  27. Auto-Tune では、速度と安定性を向上させるために、 OpenSearch Service がメモリ関連の構成変更をドメインに提案することを許可するかどうかを選択します。詳細については、「Amazon OpenSearch Service の Auto-Tune」を参照してください。

    (オプション) [オフピークウィンドウ] を選択すると、自動調整によってドメインが更新される定期的なウィンドウがスケジュールされます。

  28. (オプション) [自動ソフトウェア更新] を選択して、自動ソフトウェア更新を有効にします。

  29. (オプション) ドメインを説明するタグを追加して、その情報を分類およびフィルタリングできるようにします。詳細については、「Amazon OpenSearch Service ドメインのタグ付け」を参照してください。

  30. (オプション) クラスターの 詳細設定 を展開して設定します。これらのオプションの概要については、「高度なクラスター設定」を参照してください。

  31. [作成] を選択します。

OpenSearch サービスドメインの作成 ()AWS CLI

OpenSearch コンソールを使用してサービスドメインを作成する代わりに、を使用できます AWS CLI。構文については、AWS CLI コマンドリファレンス a の「Amazon OpenSearch サービス」を参照してください。

コマンド例

この最初の例は、 OpenSearch 以下のサービスドメイン設定を示しています。

  • バージョン 1.2 で mylogs OpenSearch という名前のサービスドメインを作成します。 OpenSearch

  • r6g.large.search インスタンスタイプの 2 つのインスタンスをドメインに追加する

  • 各データノードのストレージに 100 GiB 汎用 (SSD) gp3 EBS ボリュームを使用する

  • 単一の IP アドレス 192.0.2.0/32 からのみ匿名アクセスを許可する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.2 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=2 \
    --ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
    --access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'

次の例は、 OpenSearch 以下のサービスドメイン設定を示しています。

  • Elasticsearch バージョン 7.10 で mylogs OpenSearch という名前のサービスドメインを作成します。

  • r6g.large.search インスタンスタイプの 6 つのインスタンスをドメインに追加する

  • 各データノードのストレージに 100 GiB 汎用 (SSD) gp2 EBS ボリュームを使用する

  • サービスへのアクセスを、ユーザー ID: 555555555555 で識別される単一のユーザーに制限します。 AWS アカウント

  • 3 つのアベイラビリティーゾーンへのインスタンスを分散する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version Elasticsearch_7.10 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
    --ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'

次の例は、 OpenSearch 以下のサービスドメイン構成を示しています。

  • バージョン 1.0 で mylogs OpenSearch という名前のサービスドメインを作成します。 OpenSearch

  • r6g.xlarge.search インスタンスタイプの 10 個のインスタンスをドメインに追加する

  • 専用マスターノードとして機能する r6g.large.search インスタンスタイプの 3 つのインスタンスをドメインに追加する

  • ストレージに 100 GiB プロビジョンド IOPS EBS ボリュームを使用し、各データノードに 1000 IOPS のベースラインパフォーマンスを設定する

  • アクセスを単一のユーザーと単一のサブリソース _search API に制限する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.0 \
    --cluster-config  InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
    --ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'
注記

OpenSearch サービス・ドメインを作成しようとして、同じ名前のドメインがすでに存在する場合、CLI はエラーを報告しません。その代わりに、既存ドメインの詳細が返されます。

OpenSearch サービスドメイン (AWS SDK) の作成

AWS SDK (Android と iOS SDK を除く) は、Amazon OpenSearch サービス API リファレンスで定義されているすべてのアクション (以下を含む) をサポートします。CreateDomainサンプルコードについては、「Amazon OpenSearch Service を操作するための AWS SDKの使用」を参照してください。 AWS SDK のインストールと使用の詳細については、「AWS ソフトウェア開発キット」を参照してください。

OpenSearch サービスドメインの作成 ()AWS CloudFormation

OpenSearch サービスは AWS CloudFormation、リソースのモデル化と設定を支援するサービスと統合されているため、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できます。 OpenSearch 作成するドメインを記述したテンプレートを作成し、 CloudFormation ドメインのプロビジョニングと設定を自動的に行います。 OpenSearch ドメインの JSON および YAML テンプレートの例を含む詳細については、AWS CloudFormation ユーザーガイドの Amazon OpenSearch Service リソースタイプリファレンスをご覧ください

アクセスポリシーの設定

Amazon OpenSearch Service では、 OpenSearch サービスドメインへのアクセスを設定する方法がいくつか用意されています。詳細については、Amazon OpenSearch サービスの Identity and Access ManagementおよびAmazon OpenSearch Service でのきめ細かなアクセスコントロールを参照してください。

コンソールは、ドメインの特定のニーズに対応してカスタマイズできる事前定義のアクセスポリシーを提供します。 OpenSearch 他のサービスドメインからアクセスポリシーをインポートすることもできます。上記のアクセスポリシーが VPC アクセスを操作する方法についての詳細は、「VPC ドメインのアクセスポリシーについて」を参照してください。

アクセスポリシーを設定するには (コンソール)

  1. https://aws.amazon.com にアクセスし、[コンソールにサインイン] を選択します。

  2. [分析] で [Amazon OpenSearch サービス] を選択します。

  3. ナビゲーションペインの [ドメイン] で、更新するドメインを選択します。

  4. [アクション] から [セキュリティ設定の編集] を選択します。

  5. アクセスポリシーの JSON を編集するか、事前設定済みのオプションをインポートします。

  6. [変更の保存] を選択します。

高度なクラスター設定

詳細オプションを使用して、次のように設定します。

リクエストボディのインデックス

HTTP リクエストボディ内で、インデックスへの明示参照を許可するかどうかを指定します。このプロパティを false に設定すると、ユーザーがサブリソースのアクセスコントロールをバイパスできなくなります。デフォルトでは、値は true に設定されます。詳細については、「詳細オプションと API に関する考慮事項」を参照してください。

フィールドデータのキャッシュ割り当て

フィールドデータに割り当てられる Java ヒープスペースの割合を指定します。デフォルトでは、この設定は JVM ヒープの 20% です。

注記

多くのお客様が、ローテーションするインデックスのクエリを毎日実行しています。indices.fielddata.cache.size を使用してベンチマークテストを始めることをお勧めします。これらのほとんどのユースケースでは JVM ヒープを 40% に設定してください。非常に大きいインデックスでは、さらに大きいフィールドデータキャッシュが必要になることがあります。

句の最大数

Lucene のブールクエリで許可される句の最大数を指定します。デフォルト値は 1,024 です。クエリに含まれる句の数が最大数を超えていると、TooManyClauses エラーが発生します。詳細については、Lucene のドキュメントを参照してください。